Pi network (파이 네트워크) - 지갑 해킹 방지 가이드 part 3. 주요 해킹 원인 및 예방

이미지 예시: 해킹되었다고 알려진 특정 파이지갑

[ 이전 포스트 ]

https://novaframe.tistory.com/150 - Part 1. 지갑의 올바른 이해

https://novaframe.tistory.com/151 - Part 2. 비밀구절(니모닉)의 각종 관리 방법 및 장단점

 

이번 포스팅에서는 이제 지난편들에 기초하여 현재 파이코인의 해킹피해를 당하는 분들의 피해 원인을 추정, 그리고 아직 피해가 없다 해도 무엇에 주의해야 하는지 등을 적어 보겠습니다. 가상화폐 거래 지식이 없어서 이 포스트가 이해 되지 않는 분들을 위해 미리 2편에 걸쳐 포스팅 한 것이니 이해가 어려운 분들은 이전 포스트들을 읽고 오시길 권해드립니다.

---

[ 피해 원인 예측 ]

피해자 한명한명에 대해 정확히 어떤 원인으로 파이를 탈취당했는지 밝혀낼 수는 없습니다. 그러나 지금 열거하는 원인 중 하나에 해당하지 않을까 라는 예측을 해봅니다. 

 

■ 본인이 기억하지 못하는 과거 니모닉 노출 이력

파이의 지갑은 2021년 상반기에 테스트 지갑 형태로 처음 만들어 졌습니다. 비록 이 당시에는 실제 파이가 아닌, 테스트용 가짜 파이를 가지고 이체 연습을 도모하기 위해 만들어진 것이지만 엄연히 각자 24단어의 니모닉은 생성되었습니다. 그리고 이 지갑을 그대로 유지한 분들은 아시겠지만, 이때의 지갑이 그대로 현재의 실제 파이를 전송할 수 있는 진짜 지갑화 되었습니다.

 

아무튼 그 당시에 실제로 파이 앱 내 채팅방 또는 카카오톡 단톡방 등에서 테스트 파이 전송 연습을 하기 위해 서로의 지갑주소를 공유하는 일이 많았는데, 문제는 이 때 지갑주소와 니모닉을 혼동하여 니모닉을 채팅방에 공개하는 실수를 하시는 분들이 있었다는 것입니다. 특히 파이 네트워크 가입자들은 가상화폐 지식이 상대적으로 낮은 중,장년층 이상의 고령자 비중이 높을 것으로 추정되기 때문에 실수를 하시는 분들이 굉장히 많았을 것으로 봅니다. 

 

그러나 당시에는 어차피 진짜 파이 전송을 할 수 있는 단계가 아니었으므로 당장 눈에 띄는 피해를 입는 분은 없었습니다. 그래서 피해자가 아예 발생할 수 조차 없는 초기단계였기 때문에 이 사실을 사소하게 여기고 그냥 넘어갔거나, 또는 본인이 니모닉을 노출한 사실 자체를 기억하지 못하는 분들도 계실 것으로 추정됩니다. 때문에 "아니 나는 니모닉을 채팅방에 공개해 본 적이 없다니까?" 라고 주장하신다 해도 100% 정확한 진술이 아닐 수 있습니다. 

 

그 당시 본인이 노출한 니모닉을 고이 간직(?)해 뒀다가 수시로 그 지갑에 접근하여 털어갈 파이가 있는지 살피는 악당이 있을 가능성이 존재합니다. 

---

■ 검증되지 않은 서드파티 앱(또는 사이트) 사용 이력

 

"서드파티 앱 (Third party App)"은 파이 코어팀이 직접 만들어 배포하는 앱이 아닌, 파이 브라우저에서 실행할 수 있지만 만든 사람은 그냥 일반인인 앱을 말합니다. 즉, 제 3자가 만든 타사 앱을 말합니다.

이미지 예시: 파이 타사앱 중 하나 (일명 "국기게임")

위 이미지 예시는 지금 파이 브라우저에서 주소입력을 통해 접속할 수 있는 타사 게임입니다. (단순 예시일 뿐 이 게임에 문제가 있다는 뜻으로 보여드리는 것은 아닙니다.)

 

이처럼 파이 네트워크에서의 타사앱은 알고계신 분들이 많겠지만 이미 몇가지가 나와있습니다. 파이 가입자라면 익히 알고 계시는PCM(파이 체인몰)도 타사앱에 해당하며, 전체적으로는 주로 게임을 위주로 출시되어 있는것 같은데 중요한 것은 이들 대부분이 코어팀이 안전하다고 인정한 것들이 아니라는 점입니다. (단, 파이 체인몰은 파이 해커톤 대회 2위 수상 앱으로, 코어팀이 검증한 앱으로 평가받고 있습니다) 

 

검증되지 않은 타사 앱을 실행한다고 해서 무조건 해킹피해를 입는 것은 아닙니다. 하지만 검증되지 않은 앱들 중 어디에서 피해의 원인이 발생할지 알 수 없기 때문에 조심해야 하는 것입니다. 

 

최근 2년여 동안 출시된 파이의 타사앱 또는 사이트 중에서는 가입을 위해서 대놓고 파이의 니모닉을 입력하라는 사기도 있었습니다. 이 유형으로 피해를 입은 분들도 전세계에 걸쳐 어느정도 있다고 추정되고, 직접 니모닉을 입력하지 않는다 해도 악성코드 감염 등 본인도 눈치채지 못한 위험에 노출된 분들도 있을 것으로 추정됩니다. 

---

■ 하드웨어 감염 (휴대폰, pc 등)

각종 원인으로 인한 기기 자체의 감염도 중대한 사유가 될 수 있습니다. 개인적으로는 아직 파이의 니모닉 탈취만을 주 목적으로 만들어진 악성코드나 바이러스가 있을까 싶긴 하지만 무시할 수는 없습니다. 감염으로 인해 니모닉을 탈취당할 수 있는 유형은 다양해서 전부 열거할 수는 없지만 크게 다음과 같습니다.

 

• 키로깅 (Key logging): 해당 기기에서 사용자가 니모닉을 타이핑 (복사, 붙여넣기 포함)하고 있는 그 순간의 내용을 누군가가 같이 열람할 수 있는 해킹 방법입니다. 감염된 악성코드나 바이러스의 종류가 이 유형에 해당한다면 피해를 입을 수 있습니다.

 

• 화면해킹: 한가지 단어로 정의하기 어렵지만 공통적으로 사용자가 보고 있는 화면 내용을 그대로 실시간 열람할 수 있는 해킹 방법입니다. 타인으로부터 원격제어가 가능하게 하는 유형의 스파이웨어 등에 기기가 감염되어 있을 경우 피해를 입을 수 있습니다. 

 

• 클립보드 변조,탈취 (페이스트 재킹): 카카오톡 채팅 등 어디에서든 텍스트를 복사 붙여넣기를 하면 그 정보가 1회성이 아니라 "클립보드" 라는 별도의 공간에 자동으로 저장됩니다. 클립보드의 주 목적은 직전보다 더 이전에 복사한 내용을 가져오고 싶을 때 쓸 수 있도록 하는 것인데 부작용도 만만치 않습니다. 클립보드에 니모닉 정보가 들어있는 채로 감염된 악성코드나 바이러스의 유형이 페이스트 재킹에 해당할 때 피해를 입을 수 있습니다.  

 

• 플랫폼 자체의 취약점으로 인한 해킹: 이것은 현재로써는 파이지갑 보다는 메타마스크 등과 같이 크롬 등 특정 브라우저 내에서 실행되는 개인지갑에 더 해당하는 부분입니다. 메타마스크의 경우 이미 그 실행 기반이 되는 크롬 브라우저가 취약점으로 인해 일부 계정이 해킹되는 홍역을 한차례 치른적이 있습니다. 당시 크롬의 개발사인 구글측에서 신속히 새 업그레이드 버전을 출시하여 사태 확산을 막았습니다. 파이 브라우저의 경우 어떤 취약점이 언제 노출될지 알 수 없고, 안다 해도 본인측의 문제가 아니므로 대처하기가 어렵지만 '이런 케이스도 있구나' 라는 사실을 알고 있는 것이 좋습니다. 

이렇듯 휴대폰 기기 자체가 이미 감염된 상태일 경우에는 니모닉을 종이형태로 보관하고 있다 해도 무용지물이 될 수 있습니다. 니모닉 입력을 위해서 결국 감염된 폰을 이용하여 파이 지갑을 열어야 하기 때문에 이 단계에서 위험에 노출되는 것입니다. 

---

[ 예방 방법 ]

1. 니모닉의 중요성 및 역할 이해

가상화폐 지갑에 있어서의 '니모닉' 에 대해 정확히 이해하도록 합니다. 이미 지난 포스팅에서 알려드렸으므로 이제 니모닉이 절대로 외부에 노출되어서는 안되는 정보라는 것을 알게 되었을 것입니다.

 

2. 타사 앱 또는 사이트에서 니모닉을 요구하더라도 응하지 말 것

니모닉을 입력해야 하는 경우는 파이 지갑에 접근할 때, 마이그레이션을 신청할 때(딱 한번) 외에는 없습니다. 이 외의 어떤 경우에든 니모닉 구절을 입력하라는 절차가 있다면 사기를 의심하시기 바랍니다.

 

3. 스미싱 주의

일반 문자 메시지 내용중의 링크, 친구가 아닌 상대의 카카오톡 메시지 내용중의 링크 등을 절대 누르지 않도록 합니다. 링크를 누르는 순간 외형상 문제가 없어보여도 몰래 악성코드나 바이러스가 심어질 수 있기 때문에, 실수로라도 이것을 클릭했다면 백신 검사 등을 통해 철저히 예방할 수 있도록 합니다. 주로 택배 오배송 확인, 은행 출금기록 등의 내용에 잘 속는 것으로 보이는데 이때에도 링크로 이동하지 말고 직접 택배사나 은행에 "반드시 타인의 폰으로" 연락해 보는 식으로 역으로 확인하는 것이 좋습니다. (이미 본인의 폰이 감염된 상태라면 어떤 번호로 전화를 걸어도 해커에게 연락이 가도록 되어 있을 수 있음)

 

4. 야외 공용 와이파이 이용을 가급적 하지 않을 것

파이 네트워크는 휴대폰에서 사용하기 때문에 노드를 가동하고 있지 않다면 pc보다는 휴대폰 보안에 더 신경 써야 합니다. 최근 발생하는 해킹 유형 중에는 공용 와이파이를 통해 본인도 모르게 심어지는 악성코드가 있으므로 이에 주의해야 하겠습니다. 

 

5. 정기적으로 휴대폰 내 클립보드를 비울 것

특히 클립보드 상 니모닉 정보가 남아있다면 가급적 이를 완전히 지우시기 바랍니다 (클립보드 삭제 요령에 대해서는 따로 설명하지 않습니다).

 

6. 백신, 방화벽 등 기본 보안장치를 이용할 것

이들 프로그램은 실시간 보호 기능이 있지만 정기적으로 검사까지 하는 것이 좋습니다.

 

이 외에도 하다하다 심지어 공항 등에서 공용 충전서비스를 이용할 때 usb충전 잭에까지 악성코드가 심어져 있다는 뉴스가 나올 정도로 감염경로는 다양합니다. 그래서 이런식으로 하나하나 다 주의하는 것은 애초 불가능하기 때문에 대략적인 것들만 최대한 지키면서 방어하는 것이 최선으로 보입니다. 

---

[ 소문에 대해 ]

2023년 7월 무렵 있었던 국내 다수의 파이 해킹피해 사례에 대해서 각 커뮤니티에서는 해킹 원인에 대해 여러가지로 추정하며 논쟁을 벌였습니다. 이 때 거론되었던 시나리오들을 몇가지를 추려 생각을 더해 보도록 하겠습니다.

 

 

■ 카카오톡

당시 주 원인으로 거론되던 것들 중 "카카오톡 나에게 채팅" 으로 니모닉을 저장해 둔 것이 원인이 아닐까 하는 이야기들이 오갔었습니다. 

 

이것은 카카오톡을 서비스하는 '다음카카오' 라는 회사 자체의 취약점으로 방어가 뚫려 고객정보가 노출되거나, 또는 본인의 관리 부주의로 인해 계정 로그인 정보를 누군가 알게 된다면 가능한 시나리오일 수는 있습니다. 그러나 당시 다음카카오에 이것과 관련한 보안이슈가 없었고 본인이 부주의 했다 해도 정확히 어떤 부분이 부주의 했는지 등을 가려낼 수 없기 때문에 정답은 알지 못합니다.

 

특히 해킹 시도가 들어왔다 해도, 그 계정 이용자가 파이 네트워크 가입자인지 파악하기도 쉽지 않고 수많은 채팅 기록 중 정확히 니모닉을 집어내고, 거기에 그 니모닉이 파이코인의 니모닉인지 알고 털어가는 것인가? 라고 생각하면 가능성은 더 낮아집니다. 

 

때문에 개인적 생각으로는 카카오톡이 주 원인이 아닐 것으로 봅니다. (본인 계정관리 부주의로 인한 피해는 개별적으로 발생하였을 수는 있습니다)

 

 

■ 기억하지 못하는 과거 니모닉 노출

앞에서 말한 바와 같이 과거에 실수로 니모닉을 어딘가에 노출했지만 그 사실을 기억하지 못하는 케이스가 있을 것으로 추정하기도 했습니다. 아마도 이 케이스도 피해사례에 섞여 있을 것으로 생각됩니다.

 

 

■ 클립보드 내용 탈취

위 카카오톡 얘기에 관련해서, 나에게 채팅 등으로 저장해둔 것과 별개로 그 저장을 할 때 복사 붙여넣기한 니모닉 정보가 클립보드에 남아 있었고, 그것이 휴대폰 보안 취약으로 인해 탈취당했을 수 있다는 소문도 돌았습니다.

 

이것은 위에서 설명한 '페이스트 재킹' 유형의 코드에 감염되면 발생할 수 있는 시나리오 입니다. 그러나 역시 개인적으로는 이 부분도 파이 니모닉 탈취의 주 원인은 아닐 것으로 보고 있습니다. 

 

이유는 피해 이슈가 당시 국내에 집중되어 있었기 때문입니다. 카카오톡은 그 점유율이 대부분 한국에 집중되어 있기 때문에 국내에서만 피해가 발생해도 이해가 되는 부분이지만, 페이스트 재킹은 전세계가 공통적으로 언제든 노출될 수 있기 때문에 특정 국가에서 갑자기 피해가 집단적으로 발생한다는 것은 논리에 맞지 않은것 같습니다. 물론 공격자가 마음먹고 특정 국가에 대해 공격을 퍼부을 수는 있고 실제 그랬던 사례도 있으므로 장담은 어렵습니다.

 

 

■ 자작극

파이코인은 현재 코어팀 측에서 현금과 교환하는 것을 엄격히 금지하며, 적발될 시 해당 계정을 영구 동결조치 하고 있습니다. 이것 때문에 파이를 현금으로 몰래 교환한 후 지불한 파이를 누군가에게 해킹당했다 라고 스스로 거짓정보를 흘리는 자작극을 하고 있는게 아니냐는 소문도 돌았었습니다.

 

이것은 사실 파이 익스플로러에서 트랜잭션을 추적해보면 추정까지는 할 수 있다고 생각하며, 개인적으로 어느정도 신빙성이 있다고 봅니다. 각종 가상화폐 해킹 패턴을 보면, 탈취된 코인이 그 상대방에게 넘어간 후 보통 그대로 머물러 있지 않고 계속 다른 지갑으로 수십 수백차례 분산, 이동하며 마치 돈세탁을 하는 것처럼 돌리기를 합니다. 이동 경로가 복잡해 질수록 추적에 애를 먹기 때문입니다.

 

이번 상황에 대해 필자가 트랜잭션을 추적해본 적이 없어서 단언할 수는 없지만, 탈취당했다고 주장하는 트랜잭션의 탈취 당사자의 지갑을 추적하여 재이동한 흔적이 있는지, 있다면 몇번이나 되는지, 아니면 아예 추가로 이동하지 않고 그대로 머물러 있는지 등을 통해 추측 정도는 가능할 것으로 생각합니다. 

 

그러나 모든 피해자가 자작극을 하고있는 것은 절대 아닐 것이고, 객관적으로 자작극 여부를 가려내는 것도 불가능하므로 이것 역시 진실은 저 너머에 있다고 하겠습니다. 개인적으로는 '몇건이나 되는지는 몰라도 분명 자작극도 섞여는 있을것이다' 라고 생각합니다.

 

즉, 한가지 원인으로 설명할 수 없고 여러 원인이 복합적으로 작용해서 누구는 자작극, 누구는 이 원인, 누구는 저 원인으로 인해 각각 피해가 발생하는 것으로 이해할 수 있겠습니다. 

---

[ 결론 ]

1. 해킹 사태가 자작극인지 여부를 떠나서, 어쨌든 니모닉 및 기기의 관리는 항상 중요하므로 경각심을 가져야 하겠습니다.

 

2. 이제 가상화폐 지갑에 대한 지식이 전무한 분들도 파이코인을 모을 예정이거나 모아두신 분들이라면 무조건 공부가 필요합니다. 비수탁형 지갑의 특성상 대신 책임져줄 주체가 없기 때문에 모두 본인이 알고 관리해야 합니다. 

 

3. 아직 공식 가치가 0인 파이코인이 이정도로 해킹 이슈가 돌 정도라는 자체가 고무적입니다. 정말로 미래가치가 없을 것으로 보는 코인이라면 관심을 갖고 탈취하려는 시도 조차 없었을 것입니다.

---

추가 포스팅 계획은 없으나 주제가 생긴다면 part 4로 연장할 수 있습니다.